Kriptoloji Nedir?

Kriptoloji Nedir Özet

Yüksek lisans’ta aldığım Kriptoloji dersi ile alakalı aldığımız özet notları paylaşmak istedim.

KRİPTOLOJİ ÖZETİ

 Kriptoloji

Kriptoloji kriptografi ve kriptanaliz –kriptografik algoritmalarını analizleri- ile ilgili bir bilim dalıdır. -gizli yazıları, şifreli  belgeleri  çözmeyle  uğraşan  bilim.-gizli  yazıları,  şifreli  belgeleri  ele  alan  inceleme. Kriptoloji, şifre  ilmidir.  Çeşitli iletilerin, yazıların belli bir sisteme gore şifrelenmesi, bu mesajların güvenlikli bir ortamda alıcıya iletilmesi ve iletilmiş mesajın deşifre edilmesidir.

Günümüz teknolojisinin baş dondurucu hızı göz önüne Alındığında, teknolojinin gelişmesiyle birlikte ortaya çıkan güvenlik açığının da taşıdığı önem ortaya çıkmaktadır.

Kriptoloji; askeri kurumlardan, kişiler arası veya özel devlet kurumları arasındaki iletişimlerden, sistemlerin oluşumunda ve işleyişindeki güvenlik boşluklarına kadar her turlu dalla alakalıdır

Kriptografi, haberleşmenin güvenliğini üçüncü, kotu niyetli taraflara karşı sağlamak için uygulama ve teknikleri içeren çalışmaların bütününü ifade eder. Kriptoloji = Kriptografi + Kriptoanaliz. Kriptoloji bilimi kendi içerisinde iki farklı branşa ayrılır.  Bunlar Kriptografi; şifreli yazı yazma ve Kriptoanaliz; şifreleri cozme ya da analiz etmedir. Kriptoloji, cok eski ve renkli bir gecmişe sahiptir. Tarihten günümüze kadar, bazı şifreleme

Teknikleri şunlardır: Sezar şifrelemesi Rotor makinesi (Enigma)  Acık anahtarlı şifreleme Cırpı fonksiyonları

Veri gizleme teknikleri

 Bilgi  Güvenliği

Bilgi guvenliği icin verinin yetkisiz değiştirilmeye, kullanılmaya, ifşa edilmesine, incelenmesine, kaydedilmesine, hasar verilmesine   karşı koruma yontemleri (guvenlik hedeflerine ulaşılarak) çalışılır Bilgi güvenliği, bilgilerin izinsiz kullanımından, izinsiz ifşa edilmesinden, izinsiz yok edilmesinden, izinsiz değiştirilmesinden, bilgilere  asar verilmesinden koruma,veya  bilgilere  yapılacak  olan  izinsiz  erişimleri  engelleme  işlemidir  .Bilgi  guvenliği,  bilgisayar  guvenliği  ve  bilgi sigortası terimleri, sık olarak birbirinin yerine kullanılmaktadır. Bu alanlar alakalıdırlar ve mahremiyetin, butunluğun ve bilginin ulaşılabilirliğinin korunması hususunda ortak hedefleri paylaşırlar.

Turk Standartları Enstitusu TSE tarafından Turkceye çevrilerek yayınlanan TS ISO/IEC 27001:2005 Bilgi Guvenliği Yonetim Sistemi Standardı, bilgi guvenliğini uc başlık altında inceler: Gizlilik: Bilgilerin yetkisiz erişime karşı korunması Butunluk:  Bilgilerin  eksiksiz,  tam,  tutarlı  ve  doğru  olması  Kullanılabilirlik:  Bilgilere  yetkililerce  ihtiyac  duyulduğunda erişilebilir olması .Gizlilik: Bilgilerin yetkisiz erişime karşı korunması Butunluk: Bilgilerin eksiksiz, tam, tutarlı ve doğru olması Kullanılabilirlik: ilgilere yetkililerce ihtiyac duyulduğunda erişilebilir olması

Ağ  Güvenliği

Ağ guvenliğinde, ağ erişimli sistemlere ve kaynaklara yetkisiz erişimleri   izlemek ve onlemek icin uygulanan yontemler (Kriptografi algoritmaların ağ protokollerinde kullanımı vb.) incelenir. Ağ güvenliği genel olarak organizasyonun veri kaynaklarını basit kullanıcı hatalarından ve kotucul ataklardan korumak demektir.

Sağlayıcı, ağ güvenliği alanında;   Güvenlik analizi ,Güvenlik kontrolleri, iyileştirme ve güncelleme, Servislerinin yanı sıra; Firewall, Ağ tabanlı IPS, VPN, Secure Web Gateway, Veri Sızıntı Koruması (DLP), İkili kimlik doğrulama (2F Authentication),Anti-Virus ve Anti-Spam (ezberlemeye gerek yok sadece birkaç tanesini bilmek yeterli )

Günümüzde kriptografik sistemler

Bugun, Kriptografi cok geniş uygulama alanlarına dahil olarak gunluk hayatın onemli bir parcası olmuştur:

•sim kartlar,

•cep telefonları,

•uzaktan kumandalar,

•online bankacılık,

•online alışveriş,

•uydu alıcıları,

Bu bolumun sonunda,   Kriptolojinin onemini kavramış olmamız gerekmektedir. Kriptoloji ise Kriptografi ve Kriptoanaliz –Kriptografi algoritmalarını  analizleri- ile ilgili bir bilim dalıdır. Kriptografi, haberleşmenin guvenliğini ucuncu, kotu niyetli  taraflara karşı sağlamak icin uygulama ve teknikleri içeren calışmaların butununu ifade eder.  Bilgi guvenliği icin verinin  yetkisiz  değiştirilmeye,  kullanılmaya,  ifşa  edilmesine,  incelenmesine,  kaydedilmesine,  hasar  verilmesine  karşı koruma yontemleri (guvenlik hedeflerine ulaşılarak) calışılır. Ağ guvenliğinde, ağ erişimli sistemlere ve kaynaklara yetkisiz erişimleri  izlemek  ve  onlemek  icin  uygulanan  yontemler  (Kriptografi  algoritmaların  ağ  protokollerinde  kullanımı  vb.) incelenir.

Değerlendirme Soruları

1. Kriptoloji nedir ?

2. Kriptografi nedir ?

3. Bilgi Guvenliği nedir ?

4. Ağ Guvenliği nedir ?

5. Gunumuzde kriptografi sistemler nelerdir ?

2.1.1 Gönderici

Gonderici, duygu duşunce ve isteğin aktarılmasında sözü soyleyen kişi veya topluluklara denir.

2.1.2 Alıcı

Alıcı, iletilen sözü alan kişiye veya topluluğa denir.

2.1.3 Güvenli Haberleşme Kanalı

Gonderici ile alıcı arasındaki iletinin gönderilme  şekline kanal denmektedir.

2.1.4 Açık Metin

İleti, gonderici ile alıcı arasında aktarılmakta olan duygu, duşunce  ya da isteğe denmektedir.

2.1.5 Açık Metin Değişmiş Hali

İleti, gonderici ile alıcı arasında aktarılmakta olan duygu, duşunce  ya da isteğe denmektedir.

2.2.1 Güvenlik Hedefleri

Güvenlik hedeflerine

– Gizlilik (mahremiyet) -confidentiality-,

– butunluk -integrity-,

– sureklilik -availability,

– kimlik denetimi (doğrulama) -authentication-,

– inkar edilemezlik -non-repudiation-,

– izlenebilirlik –accountability ulaşılmasına  sağlayan kriptografik algoritmalar, guvenlik protokollerin

bileşenleri olarak haberleşmenin mahfuz kalabileceği kotu niyetli etkileri onlemek icin kullanılırlar.

2.2.2 Bilgi Güvenliği Hedefleri

● Gizlilik: bilgiye erişim yetkisine sahiplerin erişim sağlamak

● Butunluk: bilginin değiştirilme veya yok edilmeye karşı  korunması (bilgini kaynağını doğrulayarak  )

● Sureklilik: Zamanında ve guvenilir şekilde bilgi kullanımının  Sağlanması

● Kimlik denetimi: kullanıcıların iddia ettikleri kullanıcılar   olduğunun ve bir sisteme erişen verinin guvenilir kaynaktan

geldiğinin kontrolu.

●  İnkar  edilemezlik:  oluşturulan  kanıtlar  yardımıyla  veri  gönderen veya alanın  veri  aktarımı  veya  alımı  yaptığını  inkar

etmesini engellemek.

● İzlenebilirlik: bir guvenlik ihlali yapıldığında sorumlusunu ortaya cıkarmak icin kullanıcı işlemlerinin takibinin yapılmasının sağlanması – İnkar edilemezliği, caydırmayı, ihlal tespitini ve önlenmesini destekler

2.2.4 Gizlilik İhlali

Haberleşme kanalını dinleyen saldırgan gonderici ile alıcı arasındaki mesaj trafiğini dinleyebilir ve elde ettiği mesajları okuyarak bu haberleşmenin gizliliğini bozar. Bu tehdit dinleme tehdidi olarak bilinir.

2.2.6 Bütünlük İhlali

Haberleşmeye mudahale edip gondericinin mesajlarını değiştiren  saldırgan, alıcıya giden mesajı istediği şekle

sokabilir. Bu tehdit mesajın butunluğunu bozan değiştirme tehdididir

2.2.8 Kimlik Doğrulama İhlali

Saldırgan, alıcıya gondericinin kimliğini taklit ederek bir mesaj  gonderebilir. Bu durumda eğer alıcı guvenilir bir

kimlik doğrulaması yapmıyorsa yanlış mesajlarla kandırılabilir.

2.2.10 İnkar Edemezlik İhlali

Mesajı gonderen veya alan tarafın bu işi yaptığını inkar etmesi soz konusu olabilir. Bu kotu niyetli girişimi boşa çıkaracak mekanizmalara ihtiyac vardır.

2.2.12 Süreklilik İhlali

Saldırgan,   haberleşen   iki   taraf   arasındaki   hattı   veya   haberleşme   araclarını   kullanılmaz   hale   getirerek

haberleşmenin sürekliliğini engellemeye calışır.

2. 3.2. OpenPGP

● Pretty Good Privacy (PGP) : veri şifreleme ve deşifreleme yazılımıdır Haberleşme icin veri gizliliği ve kimlik denetimi sağlar. PGP dosya, e-posta, klasor ve disk bolumlerinin dijital imzalama, şifreleme ve eşifrelemesinde kullanılır.

1991 de Phil Zimmermann tarafından üretildi .

Kimlik Denetimi (Authentication)

– Gizlilik (Confidentiality)

– Sıkıştırma (Compression)

– E-posta uyumluluğu (E-mail compatibility)

– Parcalama ve birleştirme

(Segmentation and Reassembly)

Kullanıcı sadece ilk iki işlemi gozlemler.

2. 3.4. Kimlik Doğrulama Basamakları

PGP: Kimlik Doğrulama basamakları

• Dijital imza oluşturmakla aynıdır:

Gönderen

– Mesaj M yi yaratır.

– Ozet fonksiyonu H ile mesajın ozetini H(M)

oluşturur

– H(M), Gondericinin Kapalı anahtarı (GK) ile şifrelenir ve

imza oluşur.

– Mesaj M nin sonuna bu imza eklenir.

Özetle pgp gizliliği sağlar .

2. 3.5. Gizlilik

PGP: Gizlilik

Gönderen

– Mesajı ve mesaja ozgu gizli simetrik şifreleme anahtarını (session key) oluşturur.

– Mesajı blok şifreleme (EC) algoritmalarından biri ile şifreler.

– Gizli anahtarı, Alıcının acık anahtarı ile şifreler

-anahtar paylaşımı-

– Şifrelenen mesaj ve gizli anahtar iletilir.

Alıcı

– Gizli anahtarı, acık anahtarı ile deşifrelime yaparak kurtarır.

– Gizli anahtar ile şifreli mesajı deşifreler.

4.1 Kriptoloji Tarihçe

crypto- veya calypto – latincede gizli, bilinmeyen anlamındadır. “Cryptology‟ ise, bilinmeyene dair çalışma, gizlilik çalışması demektir .  Dilimiz  karşılığıyla  Kriptoloji’  kavramı,  bünyesinde  kripto grafi,  yani  şifreleme  bilimi,  ve  kripto sistemler n  kırılması i le il gile ne n krip tanaliz  çalışma alanlarını barındırmaktadır  

Bununla beraber pek çok zaman kriptografi ve kriptoloji birbiri yerine geçecek şekilde kullanılmaktadır. Kriptografinin tarihte görüldüğü ilk belirgin örnek olarak Julius Caesar‟ın MÖ 60-50 yıllarında roma alfabesindeki harflerin yerini değiştirerek oluşturduğu şifreleme yöntemini devlet haberleşmesinde kullanması örnek gösterilir. Bu yöntem şifrelenecek olan metindeki her harfin alfabede kendisinden 3 sonraki harfle değiştirilmesine dayanmaktadır.

Kriptografi biliminin gelişimi her ne kadar bin yıllar boyunca sürmüş olsa da, asıl ivmelenme, son yüzyılda ve bilhassa bilgisayar çağı olarak nitelendirebileceğimiz son 50 yılda gerçekleşmiştir. Örneğin, 1920‟li yıllarda FBI, içki kaçakçılarının haberleşmesini çözebilmek bir araştırma ofisi kurmuştur. Hemen arkasından 2. Dünya savaşında kriptolojinin önemli bir rol oynadığını görüyoruz:

Günümüz dünyasına dönersek, kriptografinin daha yoğun bir şekilde kullanıldığı su götürmez bir gerçek olarak karşımıza çıkıyor. Pek çoğumuz haberdar olmasak da internette bağlandığımız bilgisayarımıza veya elektronik cihazımıza indirilen ve bizim aracılığımızla gönderilen şiflenememiş metinler sunucuya ulaşana kadar aracı network cihazlarının sistem yöneticileri gibi kişilerce rahatlıkla izlenebilir ve hatta üzerinde değişiklikler yapılabilir. Kişisel veya kurumsal açıdan hassas ve gizlilik arzeden bilgilerin iletiminde bize yardımcı olmak üzere tasarlanmış şifreleme algoritmaları mevcuttur.

İnternetle sınırlı olmasa da, örnek olarak bahsetmek gerekirse https:// kısaltması ile başlayan sitelere girdiğimiz zaman farkında olmasak da internet tarayıcılarımızdaki SSL implementasyonu kullanmaktayız. SSL (Secure Sockets Layer), tarayıcı ve bağlanılan sunucu arasında şifrelenmiş haberleşme sağlayan bir standartdır. Günümüzde, yazılım geliştiriciler içi n Java gibi pek çok programlama dilinde hazır kütüphaneleri sunulan ve ilk olarak bir zamanların efsane internet tarayıcısı Netscape için geliştirilmiş olan SSL‟in en temel kullanım örneği olarak e-postalarımızın şifreli şekilde iletimi örnek gösterilebilir. Nitekim günümüz tarayıcıları tarafından kullanılan elektronik bankacılık yazılımları da bu teknolojiden yararlanmaktadır.

Kriptolojinin günümüzde kullanıldığı alanlar :  E imza , SSL sertifikaları , internet üzerinden haberleşme mesajları , bankacılık sistemi vs haberleşme olan her teknolojik sistemde , e ticaret ,  sim kartlar ,  uzaktan kumanda , uydu alıcısı yapay zeka cihazları kullanılmaktadır

Klasik kriptografik sistemlere ; enigma , Matematik nedir?

Varlıkların        sayısı,        biçimi        ve        düzenlenmesi        mantığı        ile        ilgilenen        bir        bilim        dalı Niceliklerin, yapıların, uzayın ve değişikliğin irdelendiği bir bilim dalı. Sayma, hesaplama, ölçüm ve fiziksel nesnelerin şekilleri ve hareketleri için mantıksal muhakeme ve soyutlaması ile gelişmiştir. Ölçü, özellik ve nesneler arasındaki ilişkiler bilgisi üzerine kurulmuş bir sistem. Sistem kuramsal veya uygulamalı olarak cebir, geometri, tirgonometri, istatistik ve hesabı (Calculus) içerir.

Bilişim bilgi ve bilginin otomatik olarak işlenmesiyle ilgilenen bir  yapısal bilim  dalıdır.

Matematiğe  benzer şekilde Bilişim Bilimi (Enformatik) bilginin, özellikle elektronik makineler aracılığıyla, düzenli ve ussal biçimde işlenmesi bilimidir. Bilişim Bilimi, bilgi işlemlerinde uygulanabilen (soyut) matematiksel yapıları inceler. Bir yandan (matematiğin alt dalı olarak) temel aksiyomatik matematiksel teoriler üretmek, ikinci olarak tüm  diğer  uzmanlık dallarının nesnelerini ve süreçlerini çözümleyip soyut matematiksel yapılara ve  algoritmalara dönüştürmek ve üçüncü olarak soyut matematiksel  yapıların  aktarılabileceği, saklanabileceği ve algoritmalarla otomatik olarak  işlenebileceği makineleri tasarlamaktır. Tarihsel olarak “matematik” “bilişimi”, “bilişim” de “matematiği” etkilemiş ve tetiklemiştir.

İnsan doğası, ilk çağlarda hesaplama gereksinimini hissetmiş ve hesaplamayı önce parmakları kullanarak daha sonra da bir takım araç-gereçlerle (ilk bilgisayarlar) yapma uğraşı içerisinde olmuştur.

Abaküs ve çeşitleri Napier kemikleri Pascaline

Günümüzde Sembolik hesaplama araçlarının ortaya çıkması ile birlikte, matematikçiler, teoremlerin ispatlarını bu araçlarla bilgisayarlarda yapmaya başladılar.   Daha sonraki dönemlerde ise, sembolik hesaplama araçları, matematik eğitimine destek olarak üniversitelerde kullanılmaya başlandı.

Kişisel bilgisayarların 1980’li yılların hemen başında geliştirilmesi, bilgisayarların artık toplumsal işlevleri yükleneceğinin ilk habercisi oldu. 1990’a kadar, bireylere hizmet veren bu küçük bilgisayarlar, daha sonra, İnternet teknolojilerinin kullanımı ile toplumlara hizmet vermeye başladı.

İletişim, bilgisayarların ortaklaşa kullanımı, veri paylaşımı beraberinde verinin güvenliği gibi kavramların ortaya çıkmasına neden oldu. Daha önce, teleks gibi sistemlerde güvenli veri/mesaj iletilerinde kullanılan şifre (kripto), İnternet güvenliğinde ve ulusal güvenlikte çok önemli bir konu, ve matematiğin bir dalı olarak gelişti.

Kurtuluş savaşında kağıda limon suyu ile yazılan yazı , ateşe tutulduğunda yazıların ortaya çıktığı yöntem uygulanmıştır

Simetrik Şifreleme Algoritmaları

Simetrik  şifreleme  algoritmaları  şifreleme  ve  deşifreleme  işlemleri  için  tek  bir  gizli  anahtar  kullanmaktadır. Şifreleme işlemlerini gerçekleştirdikten sonra şifreli metni alıcıya gönderirken şifreli metinle birlikte gizli anahtarı da alıcıya güvenli bir şekilde göndermesi gerekmektedir. Simetrik şifreleme algoritmaları çok hızlı şifreleme ve deşifreleme işlemleri gerçekleştirebildiğinden dolayı günümüzde çok yaygın olarak kullanılmaktadır.

Simetrik şifrelemede genelde şifreleme işlemi bir anahtar (key) marifetiyle olur. Bu anahtar iki taraf tarafından

daha önceden bilinen bir bilgidir ve bir tarafın anahtar ile şifrelediği bilgi diğer taraftaki anahtar ile açılabilir.

Simetrik şifrelemenin tarafları

Aşağıdaki şekilde basit bir simetrik şifrelemede bulunan iki taraf görülmektedir.

Şekilde şifreleme sistemimizi kullanan iki kişi gösterilmektedir. Bir taraf şifreleyen (Ali) diğer taraf ise şifreyi açan

(Bekir) taraf olarak kabul edilsin.

Örneğin yukarıdaki senaryoda Ali ve Bekir, İnternet gibi güvensiz ve saldırılara açık bir ortam üzerinden konuşmak istiyor olsunlar ve mesajlarını şifreleyerek görüşmek istesinler. Simetrik şifreleme sistemlerinin ilk aşaması sistemin kurulmasıdır. Bu aşama bazı şifreleme sistemlerinde sadece bir anahtarın iki taraf tarafından bilinmesi kadar basitken bazı sistemlerde karmaşık hesaplamalar sonucunda elde edilir. Örneğin en basit simetrik şifreleme yöntemlerinden birisi

olan  kaydırma şifrelemesini ( shift cipher) ele alalım.

Mesajda bulunan harfler alfabetik olarak (lexiconically) anahtar kadar kaydırılır. Örneğin anahtar 2 ise her harf alfabede kendinden iki sonraki harf olacaktır (a->c , l->n veya z->b şeklinde).

Bu sistemdeki anahtarın iki taraf tarafından bilinmesi yeterlidir. Yani 2 bilgisinin bir şekilde hem şifreleyen hem de şifreyi açan kişi tarafından önceden bilinmesi sistemin kurulması aşamasıdır.

“ACTKPQPFCQMWNFCDWNWUCNKO”

mesajını alan taraf daha önceden bildiği anahtarı kullanarak mesajı açmış ve

“YARINONDAOKULDABULUSALIM” açık mesajını elde etmiştir.

5.3  Blok Şifre Tanımı

Blok şifreler, açık metni eşit uzunluktaki bloklara ayırıp, her bir bloğu bir fonksiyon yardımı ile tek tek şifreleyerek şifreli metni oluşturur.

ØGirdi olarak k-bitlik bir anahtar ve n-bitlik açık metin bloğunu alır

ØÇıktı olarak n-bitlik şifreli metin bloğu verir

Standartlaştırma

•Amerikan Milli Standartlar Burosu (NBS) bilgi güvenliğini sağlamak icin bir şifreleme algoritması geliştirmek amacıyla 1973’de proje başlattı.

•1974’te IBM tarafından finansal uygulamalar icin geliştirmiş bir şifreleme ailesi (LUCIFER) duyuruldu.

•NBS tarafından geliştirildi ve 1977’de NBS ilk standart Data Encryption Standard (DES)”i Federal Information

Processing Standard (FIPS 46) olarak duyurdu.

5.3.2 DES Döngüsü

DES (Data Encryption Statndard) algoritması, 1970 yılında IBM tarafından geliştirilen Lucifer algoritmasının biraz daha geliştirilmiş halidir. DES 1974 yılında IBM ve NSA’nın birlikte çalışması ile geliştirilmiştir. Algoritmanın anahtar uzayının günün teknolojisi karşısında küçük olması nedeniyle algoritma artık saf hali ile kullanılmamaktadır. Değiştirilmiş halleri kullanılmaya devam etmektedir

DES algoritması Feistel yapısında olup 16 döngüden oluşur. İlk döngü girişinden önce başlangıç permütasyonu, son döngüden sonra da başlangıç permütasyonunun tersi vardır. Başlangıç permütasyonunun güvenlik açısından bir etkisi bulunmaz. Blok uzunluğu 64 bittir. 64 bitlik anahtarın 56 biti kullanılır, diğer 8 bit eşlik biti olarak kullanılabilir. Algoritma Şekil de görünmektedir.

Parola Güvenliği

● Parolalar oluşturulurken özet algoritmaları kullanılıyor.

● Parola için tavsiye edilen uzunluk en az 16 karakter. Her bir karakter 8-bit. Toplamda en az 128-bit. Karakterler

için harfler, sayılar, semboller rastgele seçilmeli.

● Cryptool parola üreteçi (Eğitim amaçlı)

● Parolaları test yazılımları

John the Ripper

Ophcrack

SHA-1 bircok guvenlik uygulama ve protokollerinde yaygın olarak kullanılmaktadır. Guvenli olduğu duşunuluyordu fakat 2005 SHA-1 de bir guvenlik acığı bulundu. SHA-1 yapısında matematiksel bir zayıflık olma ihtimaline karşılık daha guvenli bir ozet fonksiyonu arayışına girilmeye başlandı.

Her ne kadar SHA-2 ozet fonksiyonları icin bir saldırı rapor edilmediyse de, SHA-2 fonksiyonları SHA-1 e algoritmik olarak benzemektedir.

1.     Klasik kriptografi ile günümüz kriptografisini anlatınız?

2.     Simetrik şifreleme nedir?

Akan Şifreler

Akan Şifreler işlevini açık metnin her bir karakterini zamanla değişen bir fonksiyona sokarak yerine getirir

Girdi olarak alınan bir anahtar (K) ve başlangıç vektörü (IV) ile üreteç mümkün olduğu kadar uzun periyotlu ve rastgele gözüken anahtar dizilerini (z1,z2,z3…) üretir ve elde ettiği anahtarı açık metinle şifreleme fonksiyonuna (h) sokarak şifreli metni elde eder.

6.2  Asimetrik Tanım

Tek Kullanımlık Şerit, simetrik şifrelerin temel aksaklığını yoğunlaştırarak sunmaktadır: anahtar yönetimi. Bütün simetrik şifrelerde anahtarların gizli ve güvenli bir kanaldan iletilmesi gerekmektedir. Bunun nedeni şifreleme anahtarının çözme anahtarıyla aynı  olmasıdır. 1978 yılında Diffie ve Hellman’ın ilk asimetrik şifreleme yöntemini çıkarmalarıyla beraber şifreyazım’da yeni bir dönem başlamıştır. Asimetrik şifreleme yöntemiyle artık şifreleme ve çözme anahtarları farklıdır. Anahtarlardan birinin şifrelediğini sadece diğeri çözebilir. Anahtarlardan birine açık anahtar, diğerine gizli anahtar adı verilir; açık anahtar herkese açıklanır.  Barış Ayşe‘ye bir mektup yollamak istiyorsa, önce Ayşe‘nın açık anahtarını temin edip, mesajını onunla şifreleyip Ayşe ye yollaması gerekir. Ayşe aldığı mesajı kendi gizli anahtarıyla açar. Ayşe’nin dikkat etmesi gereken tek nokta aldığı açık anahtarın gerçekten Barış’a ait olup olmadığıdır. Açık anahtar rahatça dağıtılabildiğinden, bunu sağlamanın  kolay  bir  yolu,  anahtarı  bağımsız  çeşitli  noktalara  dağıtmaktır;  böylece  Ayşe  birden  fazla  yerden  Barışın anahtarını temin edip doğruluyabilir.

Açık Anahtar Şifreleme Uygulamaları

Şifreleme / Deşifreleme (Encryption/Decryption)

– mesaj alıcının acık anahtarı ile şifrelenir

Dijital İmza (Digital signature)

– gonderici, mesajını (genelde mesaj ozetini) kapalı anahtarı ile şifreler

Anahtar Değişimi (Key Exchange)

– Simetrik şifreleme algoritmasının gizli anahtarını, iki taraf paylaşır. Basitce, taraflardan biri bu anahtarı belirler ve alıcının acık anahtarı ile şifreler ve alıcıya iletir.

Klasik sınav olacak: simetrik anahtarlı sistemlerden neler anlamaktayız örnek veriniz

Ötelemeden karakter dizini verilir bunu sorar

Vejinire tablosunu soracak ilerleyen haftalarda anlatılacak

Açık Anahtar Şifreleme Uygulamaları

Şifreleme / Deşifreleme (Encryption/Decryption)

– mesaj alıcının acık anahtarı ile şifrelenir

Dijital İmza (Digital signature)

– gonderici, mesajını (genelde mesaj ozetini) kapalı anahtarı ile şifreler

Anahtar Değişimi (Key Exchange)

– Simetrik şifreleme algoritmasının gizli anahtarını, iki taraf paylaşır. Basitce, taraflardan biri bu anahtarı belirler ve alıcının acık anahtarı ile şifreler ve alıcıya iletir

Kriptografi kripto analiz nedir?

Simetrik asimetrik kriptolama nedir?

Kriptografi  Standartları

NIST nedir?

Açılımı;  National  Institute of Standards and Technology. Adından da  anlaşıldığı  gibi bir  standart kurumudur.

Türkiye’de benzer (ne kadar benzer iş yapıyorlar, tartışılır) olarak  TSE gösterilebilir. Bununla birlikte, 1901 yılında kurulmuş, Amerika’nın en eski fizik laboratuvarlarından da biridir. Genel olarak endüstriyel rekabetçiliğin olumsuzluğunu gidermek için ölçüm standartlarıyla ilgilenmektedirler. Nano düzeyde araçlardan insan yapımı olan en büyük ve karmaşık araçlara kadar ölçüm standartlarını desteklemektedirler.

FIPS (Federal Information Processing Standard) nedir?

FIPS; Türkçesi Federal Bilgi İşleme Standart’ı olan Amerika Birleşik Devletleri tarafından askeri olmayan devlet kurumları ve devletle iş yapan diğer kurumlar tarafından bilgisayar sistemlerinde kullanılması için geliştirilmiş bir standartlar bütünüdür. FIPS’in amacı tüm federal hükûmetler ve kurumların güvenlik ve iletişimde kullanacakları ortak bir standartın sağlanmasıdır.

AES – The Advanced Encryption Standart

Bilindiği     üzere AES (Rijndael),     simetrik     şifre     bloğu     olup  Joan     Daemen ve Vincent     Rijmen tarafından tasarlanmıştır.  DES (Data   Encryption   Standart)‘in  56  bitlik  küçük   bir  şifre  bloğu  olması  ve   giderek  brute force saldırılarına karşı savunmasız kalması yeni bir standartın gerekli olduğunu gösteriyordu. AES ilk 1998 yılında duyrulup yayımlanmış, ardından 2001 yılıda (Rijndael) NIST tarafından Advanced Encryption Standart olarak seçilmiştir. Bu seçim süreci birçok farklı tasarımın elenmesinin ardından gerçekleşmiştir. NSA yarışmaya katılan tasarımların hepsini detaylı bir şekilde inceleyip NIST’e son seçimin en güvenli tasarım olması konusunda teknik destek verse de NIST NSA’den bağımsız olarak kendi kararını vermiş ve seçimini de AES’ten yana yapmıştır. Bu yüzden NSA’in AES’e ne bir katkısı ne de üzerinde bir etkisi mevcuttur denilebilir.

 BİLGİ GÜVENLİĞİ

Dersin adından da anlaşılacağı üzere, ana odağımız bilginin dijital formatta olduğu bilgi güvenliği olacak. Bilgi ve iletişim teknolojilerindeki gelişmeler ile, “bilgi” sahip olduğumuz en önemli değer oldu. Değeri arttıkça, artan saldırılar ve tehditler ile “bilgi güvenliği« konusuna olan ilgi de arttı.

Tartışmalarımız şunları kapsayacak

1.     bilginin kapalı bilgisayar sitemlerindeki işlenmesi ve saklanması (bilgisayar güvenliği)

2.  bilginin  bağlı  sistemler  üzerinden  transferi  (ağ  güvenliği)  Internetin  uluslararası  bağlantılılığının  getirdikleri

sayesinde, bu iki durumun birbirine karıştığını ve ayrımlarının net yapılamadığını da unutmamak gerekmektedir.

Bilgi

Veri, kuruluşların günlük işlerinin, kayıtlarının ve birikimlerinin sonucu elde edilen ve karar verme aşamasında da kullanılabilen işlenmiş veya işlenmemiş bilgi anlamına gelmektedir. Güvenlik ise, can ve mal varlıklarının her türlü tehdit ve tehlikelerden korunması şeklinde tanımlanabilir. Bu iki tanımdan hareket ederek veri güvenliğini, verinin, toplanması, son kullanıcıya ulaşması, saklanması ve kullanımı aşamalarında her türlü tehdit ve tehlikelerden korunması, bu amaçla önceden alınacak tedbirler ve saldırı halinde yapılabilecek işlemlerin tümünü kapsayan bir disiplin olarak tanımlayabiliriz.

Veri güvenliğinin ana amacı, her türlü ortamdaki (kâğıt, disket, teyp, bilgisayar, ağ, internet vb.) verinin güvenliğini sağlamak, veri bütünlüğünü korumak ve veriye erişimi denetleyerek gizliliği ve sistem devamlılığını sağlamaktır. Burada önemli bir husus da güvenliğin kullanıcıya aşırı sınırlamalar getirmeden ancak, kullanıcı tercihlerinden de bağımsız olarak sağlanmasıdır.

İyi bir veri güvenliği, bütün güvenlik çözümlerinin bir araya getirilmesiyle oluşur. Dolayısıyla, verinin güvenliğini sağlamak  için  birden  çok  güvenlik  çözümüne  ihtiyaç  vardır.  Tek  bir  güvenlik  çözümü  veri  ve  bilgisayar  sistemlerinin güvenliğini tam olarak sağlayamaz ve yeterli bir güvenlik sistemi olarak düşünülemez. Bu güvenlik çözümleri ilerleyen bölümlerde detaylı olarak anlatılacaktır.

Veri güvenliği günümüzde olduğu kadar geçmiş zamanlarda da büyük önem taşımıştır. Geçmişte, bilgisayar sistemleri olmadan önce ve bilgisayar sistemlerinin gelişimi ile birlikte verinin güvenliği uygulamada farklı ancak özünde benzer yöntemlerle saklanılmış ve günümüze kadar gelinmiştir. Yapılan saldırıların amaçları geçmişte ve günümüzde benzerlikler göstermektedir.

Güvenlik ve İnsan

Gartner Datapro Research şirketi tarafından yapılan araştırmanın sonuçları kurumsal bilgilerinizin nasıl, kimler tarafından tehdit edilebileceği ve zarar verilebileceği hakkında ilginç sonuçlar vermektedir. Genel kanı ilk başlarda saldırıları yapanların yaşça oldukça genç ve kendilerine ün sağlamak isteyen bilgisayar hackerları olduğu ancak son zamanlarda bunların yerlerini daha çok maddi gelir sağlamayı amaçlayan organize örgütlerin aldığı yönündedir.

Daha öncede kısaca değindiğimiz gibi bilgi güvenliği diskte, iletişim ağında, yedekleme ünitelerinde ya da başka bir yerde tutulan verilerin, programların ve her türlü bilginin korunmasıdır. Bilişim güvenliğinin temel amaçları Gizlilik, Bütünlük, Erişebilirlik, İnkâr edememe ve İzleme olarak verilebilir.

Bu amaçla geliştirilen bir güvenlik sistemi bilişim teknolojilerinde aşağıdaki hedefler doğrultusunda tasarlanmalıdır:

•      Her türlü bilgi, belge ve iletişimin yetkisiz kişilerin ve üçüncü şahısların ellerine geçmesini engellemek amacıyla gizliliklerinin sağlanması,

•      Kurumsal dokümanların ve bilgilerin personel hatalarından veya virüsler, Truva atları ve üçüncü şahıslar tarafından değiştirilerek bütünlüklerinin bozulmasının engellenmesi,

•      Kurumsal doküman ve bilgilere sorunsuz ve zamanında erişilebilmesi ve doğal felaketler sırasında bile bilgiye

kesintisiz ulaşabilmesi,

•      Şirket kaynaklarının israfının önlenerek çalışanların verimliliğinin arttırılması.

Güvenlik Yönetimi

Bilgi güvenliği (information security): Tanım

Bilginin bir varlık (asset) olarak hasarlardan korunması

Tanım ile ilgili konular

Korunması gerekli bilginin, olası hasarların ve bunların değerlerinin saptanması , Koruma adımlarının tanımı ve bunların maliyetinin saptanması

Koruma adımları :

Hasarı önleme (prevention)

Hasarı saptama (detection) : Ne zaman, nasıl, kim?

Reaksiyon gösterme (hasarı giderme, bilgiyi hasardan önceki haline getirme)

Risk analizi : %100 güvenlik yoktur..!

Koruma maliyeti, (hasar olasılığı) x (hasarın değeri)’nden küçük olmalı..!

8.1.4 Risk Yönetimi

Bilgi Güvenlik Politikalarını oluştururken ekip çalışması ve iş bölümlerinin yapılması gerekmektedir. Bu ekipler Bilgi Güvenlik Birimi, Bilgi İşlem Birimi ve kurumun diğer birimleri olarak sıralanabilir. Bu birimlerin görevleri aşağıda listelenmiştir.

Bilgi Güvenlik Biriminin Görevleri

Proje koordinasyonu,

Proje raporlama ve dokümantasyonu,

Kapsam ve detay çalışmaları için kullanılacak standartların ve uygulanacak yöntemin yer aldığı, yol gösterici dokümanların hazırlanması;

Bilgi güvenlik politikasının kapsam ve içeriğinin belirlenerek hazırlanması;

Bilgi güvenlik politikasının alt politikaları ve prosedürlerinin belirlenerek hazırlanması;

Birimlerden gelen isteklerin değerlendirilerek gerekli görülmesi durumunda proje dokümanlarına yansıtılması; Proje çalışmalarının planlanması, GAP analizi ve varlıkların belirlenmesi, sınıflandırılması, risk analizi, bilgi güvenlik

planları, iş devamlılık planları hazırlanması gibi proje aktiviteleri için kullanılacak yöntem, standartların ve yardımcı dokümanların hazırlanması;

Yapılacak çalışmalar için eğitimlerin verilmesi;

Birimlerden gelen çalışma sonuçlarının değerlendirilmesi, incelenmesi, takibi ve kontrolü;

Zaafiyet Tehdit ve Risk

ISO 27001 Bilgi Güvenliği Yönetim Sisteminin temelinde yer alan risk değerlendirmesi çalışmalarını gerçekleştirirken genellikle kalitatif (qualitative) metodolojiler kullanıyoruz.

Bu metodolojilerin, karşı karşıya olduğumuz bilgi güvenliği risklerini tutarlı bir şekilde belirlememize ve önceliklendirmemize yardımcı olmasını bekliyoruz. Fakat bu metodolojiler ile belirlenen risklerin ve bu risklerin önceliklerinin, kurumun gerçek bilgi güvenliği riskleri ile örtüşmediği durumlarla sıklıkla karşılaşıyoruz. Bu sorunun temel nedeni de genellikle kullanmakta olduğumuz risk değerlendirme metodolojisinde yatıyor.

Kullanmış olduğumuz metodolojilerin, bilgi güvenliğinin temel kavramları arasındaki ilişkilere yönelik çözümler içermesi gerekiyor. Bilgi güvenliği riskleri ile ilişkili temel kavramların ise nispeten karmaşık bir ilişkisi var: Bu karmaşık ilişki ağı zaman zaman risk değerlendirme metodolojilerinin aşırı kompleks bir hale bürünmesine yol açarken, bazen de karmaşıklığın yönetilememesi nedeni ile sonuçların tutarsız olmasına neden oluyor.

Bu ilişki ağını çözmeye çalışırken yaşadığımız bazı sorunlar:

Zafiyetleri, tehditleri ve varlıkları birbirleri ile ilişkilendirmedeki zorluklar

Bir varlıkta birden fazla zafiyetin bulunması, bir zafiyeti ise birden fazla tehditin kullanmasının getirdiği zorluklar

Risk puanlarını risk ifadelerine çevirmedeki zorluklar

Belirlenen risklere yönelik aksiyon planını çıkarmadaki zorluklar Aksiyon planında yer alan aksiyonların riskleri hangi seviyeye indireceğini öngörmedeki zorluklar

Varlıkların iş etkilerini belirlerken yaşanan zorluklar: İş etkisini belirlerken Max(G,B,E) kullanmanın getirdiği

Dezavantajlar

Tasarlayacak olduğumuz risk değerlendirme metodolojisinin yukarıdaki sorunları ortadan kaldırabilecek bir mantıksal bütünlüğe sahip olmasını sağlamamız gerekiyor.

Bilgi Güvenliğinin Temel Amacı; Veri bütünlüğünün korunması, Yetkisiz erişimin engellenmesi,

Mahremiyet ve gizliliğin korunması

Sistemin devamlılığının sağlanmasıdır.

Tehdit:Bir sistemin veya kurumun zarar görmesine neden olan istenmeyen bir olayın arkasındaki gizli neden, olarak tanımlanabilir.

 KRİPTOGRAFİ

Simetrik , asimetrik algoritmalar ve özetleme fonksiyonalrı bulunur

-Sayısal imza ve PKI

– Firewall : tanımlı olanlara izin verme olmayana geçit izni vermeme ile görevli araçtır

-Saldırı tespiti                    -erişim denetimi

-yedekleme                        -anti virüs sistemleri

ISO/IEC 27001:2005 – Bilişim Teknolojisi – Güvenlik Teknikleri – Bilgi Güvenliği Yönetim Sistemleri – Gereksinimler standardı , bir Bilgi Güvenliği Yönetim Sistemi’ni (BGYS) (ISMS – Information Security Management System) kurmak, geliştirmek,   işletmek,   izlemek,   gözden   geçirmek,   sürdürmek   ve   iyileştirmek   için   bir   model   oluşturmak   amacıyla hazırlanmıştır. ISO/IEC 27001, bilgi güvenlik yönetim standardıdır.

Bu standart ISO tarafından 14 Ekim 2005 tarihinde yayınlanmış ve ISO/IEC 27000 standart serisi altında yerini almıştır. Türkiye’de ise, ISO tarafından kabul edilen, ISO/IEC 27001:2005 standardı esas alınarak, TSE Bilgi Teknolojileri ve İletişim İhtisas Grubu’nca hazırlanmış ve TSE Teknik Kurulu’nun 2 Mart 2006 tarihli toplantısında Türk Standardı olarak kabul edilerek, “TS ISO/IEC 27001 Bilgi Teknolojisi – Güvenlik Teknikleri – Bilgi Güvenliği Yönetim Sistemleri – Gereksinimleri “adıyla yayınlanmıştır.

ISO 27001 ve ISO 27002, BGYS’nin en temel standartlarıdır. BGSY’nin planlanmasının, gerçekleştirilmesini, iyileştirilmesini ve sürdürülmesi için uygulama işlemlerini ve kontrollerini ISO 27002 içerirken; BGYS’nin belgelendirilmesi için  gereken  standartlarsa  ISO  27001’de  yer  almaktadır.  ISO  27001  Bilgi  Teknolojisi-Güvenlik  TeknikleriBilgi  Güvenliği Yönetim SistemleriGereksinimler standardı kurumsal bilgi güvenliğinin sağlanmasına yönelik bir standarttır. Kurumsal bilgi güvenliğinin bir kurumda nasıl uygulanabileceğini açıklayan bir dokümandır. Sadece sistem güvenliğinden değil bilgi güvenliğinden bahsetmektedir.

270001 Bu standart, bir BGYS kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için bir model sağlamak üzere hazırlanmıştır. BGYS yaşayan bir süreç olmak zorundadır. Bu nedenle de Standard BGYS için, planla uygula – kontrol et – önlem al (PUKÖ) döngüsünü benimsemiştir

Planlama; Kurumun BGYS politikası, amaçları, hedefleri, prosesleri ve prosedürlerinin oluşturulur. Uygulama; BGYS’nin gerçekleştirilmesi ve işletilmesini yani, BGYS politikası, kontroller, prosesler ve prosedürlerin gerçekleştirilip işletilmesini ifade etmektedir.

Kontrol et; BGYS’nin izlenmesi ve gözden geçirilmesi, BGYS politikası, amaçlar ve kullanım deneyimlerine göre süreç performansının değerlendirilmesi ve uygulanabilen yerlerde ölçülmesi ve sonuçların gözden geçirilmek üzere yönetime rapor edilmesini ifade etmektedir. ISO 27001’in öngördüğü bir BGYS kurmak kurumlara birçok yarar sağlayacaktır. BGYS kurma adımlarının izlenmesi sonucunda kurum her şeyden önce bilgi varlıklarının farkına varacaktır. Hangi varlıkları olduğunun ve bu varlıkların önemini anlayacaktır. Risklerini belirleyip yöneterek en önemli unsur olan iş sürekliliğini sağlayabilecektir. Bir kuruluşun ISO 27001 sertifikasına sahip olması, kurumun güvenlik risklerini bildiği, yönettiği, belli riskleri de ortadan kaldırmak için kaynak ayırdığı anlamına gelmektedir.

Erişim ve Yönetim Denetimi

Kullanıcı Erişiminin Yönetilmesi

Kullanıcı Kaydı

Bilgi sistemlerine ve servislerine erişim hakkı vermek için resmi bir kullanıcı kaydı girme ve kullanıcı kaydı silme prosedürü

olmalıdır.

Sistem kayıtları ile ilişkilendirme ve sorumlu tutulabilme açısından kullanıcı kimliklerinin her kullanıcı için farklı olmasına dikkat ediliyor olmalıdır.

Bilgi sistemini ve servisini kullanabileceğine dair sistem sahibi kullanıcıya yetki vermiş olmalıdır.

Verilen erişim hakkı kurumsal güvenlik politikasına ve görevler ayrılığı ilkesine uygun olmalıdır.

Kullanıcılara erişim hakları ile ilgili yazılı belge veriliyor ve kullanıcılardan erişim şartlarını anladıklarına ilişkin imzalı belge alınıyor olmalıdır.

Görevi değişen veya kuruluştan ayrılan personelin erişim hakları derhal güncellenmelidir.

Ayrıcalık Yönetimi

Ayrıcalıkların kullanımı sınırlandırılmış ve denetleniyor olmalıdır.

Ayrıcalıklar “kullanması gereken” prensibine göre ve resmi bir yetkilendirme süreci sonunda verilmelidir.

Kullanıcı Parola Yönetimi

Kullanıcı parolalarının atanması ya da değiştirilmesi resmi bir prosedür uyarınca yapılmalıdır. Kullanıcılara parolalarını saklı tutacaklarına dair bir anlaşma imzalatılmalıdır.

Kullanıcı Erisim Haklarının Gözden Geçirilmesi

Kullanıcı erişim haklarının düzenli aralıklarla kontrol edilmesini sağlayan resmi bir süreç olmalıdır.

Kullanıcı Sorumlulukları

Parola Kullanımı

Kullanıcı parolalarının seçilmesi ve kullanılması ile ilgili güvenlik tedbirleri uygulanmalıdır.

Sistem tarafından geçici olarak verilen parolaların kullanıcı tarafından sisteme ilk girişte değiştirilmesi sağlanmalıdır. Kullanıcılar zor kırılacak parolalar seçmeleri konusunda bilinçlendirilmiş olmalıdır.

Kişisel parolaların hiç kimse ile paylaşılmamasına, yazılı veya elektronik ortamlarda kaydedilmemesine dikkat edilmelidir.Kullanıcılar düzenli aralıklarla veya sistem güvenliği ile ilgili bir kuşku oluştuktan sonra parolalarını değiştirmeye zorlanmalıdır.Kullanıcılar kişisel işlerinde kullandıkları parolaları kuruluşun iş süreçlerinde kullanmamaları gerektiği konusunda bilinçlendirilmiş olmalılardır.

Kerberos

Güvenli olmayan bir ağ üzerinde haberleşen kaynakların,  bilet mantığını kullanarak kendi kimliklerini ispatlamak suretiyle iletişim kurmalarını sağlayan bir bilgisayar ağı kimlik doğrulama protokolüdür. Protokolün tasarımcıları, ilk başta istemci-sunucu modelini hedef almış ve bu doğrultuda hem kullanıcının hem de sunucunun birbirlerinin kimliklerini doğrulamasını sağlayan karşılıklı kimlik doğrulama özelliğini sunmuşlardır. Kerberos protokol mesajları, izinsiz dinlemelere ve yansıtma ataklarına karşı dayanıklıdır.

kerberos simetrik anahtar şifreleme üzerine inşa edilmiştir ve güvenilir bir üçüncü doğrulayıcıya (trusted third party) ihtiyaç duyar, isteğe bağlı olarak kimlik doğrulamanın belli aşamalarında açık anahtar şifreleme modelini de kullanabilir. Kerberos varsayılan port olarak UDP 88. portu kullanır.

Kerberos, TCP/IP yapısının yeterince güvenli bulunmaması sonucu MIT tarafından geliştirilen bir ağ kimlik denetleme protokolüdür.     Oracle,     Apple,     Google,     Microsoft     gibi     büyük     vendor     firmalardan     aldığı     destekler     ve sponsorluklarla  Kerberos geliştirilmeye  devam  etti  ve  son  versiyonu  olan  5  ise  IETF  (Internet  Engineering  Task  Force) tarafından RFC 1510 koduyla standartlaştırıldı.

1.     Bilgi Güvenliği nedir ?

2.     27001 Nedir açıklayınız?

İletişim ve Ağ Güvenliği

Bir yerel alan ağını oluşturan sunucu ve istemciler kablolu ya da kablosuz olarak birbirleriyle iletişim kurabilirler. Bir ağ ortamında kullanılan sistemlerin ve bu sistemler üzerinde saklanan her türlü verinin korunması ancak etkin bir ağ güvenliği denetimi ile yapılabilir. Bu kapsamda öncelikle bir ağın güvenilirliği ile ilgili olarak Güvenilir Sistem teriminin açıklanması gerekebilir.Güvenilir Sistem, hem ağ içi haberleşmede hem de ağın dış dünya ile haberleşmesinde ağ trafik yoğunluğunun artması, içerden/dışarıdan yetkisiz erişim veya önemli bir verinin saklanması gibi durumlarda hiç bir zafiyet oluşturmadan ağ güvenliğini sağlayabilen güçlü sistemdir. Bu sistem hem kullanılan ağ cihazlarının ve hem de bu cihazlar üzerinde çalışan uygulama programlarının iyi bir konfigürasyonla seçilmesi ve çalışmasının devamı ile mümkündür. Ağ ortamında sahip olunan verilerin güvenliğinin sağlanmasında farklı kademelerde güvenlik seviyeleri uygulanır bu kademeler;

Ağa erişimi sorgulama/koruma

Ağ kaynaklarını hizmet türleri açısından koruma

Bilgisayarlara bağlantıyı sorgulama

Uygulama programları seviyesinde sorgulama/koruma

Veri kaydı düzeyinde koruma

Kayıt alanı düzeyinde koruma

Bu seviyeler sırasıyla, ağa erişimi veya ağ üzerinde ki hizmetlere erişimi denetleyen Güvenlik Duvarları (Firewall) seviyelerinden bilgisayar veya uygulama programının içine girmeyi ve en son seviyelerde de iyi bir şifreleme ve anahtarlama algoritmasının  çalışmasını  içeren  sistemlere  adım  adım  yaklaşmayı  açıklar.Ağ  güvenliğini  sağlayabilmek  için  Güvenlik Duvarları (Firewall), Saldırı Tespit Sistemleri (IDS) ve Rol Tabanlı Erişim Kontrolleri (RBAC) kullanılabilir. Bu kapsamda ağ güvenliğini sağlamaya yönelik çözümler aşağıdaki gibi özetlenebilir.

VPN (Virtual Private Network – Sanal Özel Ağ)

Daha çok kişi veya kurumların bilgiye ulaşmak veya bilgilerini paylaşmak için belirlenmiş bir adrese internet ortamından erişimlerini sağlayan özel bir yoldur. Ve bu yol kullanılacak bir Firewall ile iki uç arasında bir kanal oluşturmak ve bu kanala girecek verilerin şifrelenmiş paketler halinde seyahatini sağlayarak yetkisiz kişilerin kullanımına engel olma mantığı üzerine bina edilmiştir.

Güvenlik Duvarı (Firewall)

Güvenlik duvarı, tek noktadan erişim denetimi ile ağı dışarıdaki kullanıcıların istifadesine belirli izinler oranında eriştiren ve böylece dışarıdan gelebilecek yetkisiz erişim veya saldırıları önleyebilen bir mekanizmadır.Güvenlik Duvarları, yazılım veya donanım tabanlı olarak gerçekleştirilebilir ve başlıca vazifeleri şunlardır.

Kullanıcı sınırlaması,

Erişim kısıtlaması (içeri ve dışarı erişim kısıtlaması)

Gözleme (içeriden dışarıya ve dışarıdan içeriye erişim gözetlemesi) Şifreleme (veri şifrelemesi veya VPN)

Adres dönüşümü yapılması (kayıtsız kayıtlı adres dönüşümü yapılması ve ağın dışarıdan gözetlenmesi)

Saldırı Tespit Sistemi (Intrusion Detection system-IDS)

IDS,  İnternet  veya  yerel  alan  ağından  gelebilecek  ve  ağdaki    sistemlere  zarar  verebilecek,  çeşitli  paket  ve  verilerden oluşabilen saldırıları fark etmek üzere tasarlanmış bir sistemdir. Saldırıyı önceden tespit ederek engellemek, saldırı sonucu çöken bir sistemi yeniden çalışır hale getirmekten daha ekonomik ve daha az iş gücü isteyen bir çözümdür. Güvenlik Duvarı kurmak, sisteme gelebilecek zararları engellemek için yeterli değildir. Çünkü Güvenlik Duvarı içeriye girmesine izin verdiği paketin ne olduğunu bilemez. Dolayısıyla sistemin zarar görmesini engelleyemez.IDS, atak nereden gelirse gelsin önlemini almak üzere üretilmiş bir çözüm olarak, kurum içinden herhangi birisi ya da dışarıdan bir kişi veya kuruluş sisteme girdiği anda bu durumu fark etmekte ve kişinin nereden geldiği ve nereye bağlandığı sorularına ilişkin raporlamalar yapmaktadır. Ayrıca belirlenen kurallar çerçevesinde gelen saldırıları tespit ederek kısa mesaj servisi (SMS-Short Message Service), e- posta, sistem kaydı ve veritabanı gibi uyarı ve kayıt çıktıları sağlayabilir ve gerekirse Güvenlik Duvarı’na saldırı olduğuna dair uyarı sinyalleri yollayabilir.

Rol Tabanlı Erişim Sistemi (RBAC)

RBAC, bilgi ve iletişim sistemlerine erişim haklarının yönetilmesi için 1980’lerin sonlarına doğru geliştirilen bir güvenlik sistemidir. Bu güvenlik sistemi, çok büyük ağ uygulamaları için daha düşük maliyette ve daha az karmaşık güvenlik yönetimi oluşturur. RBAC, kullanıcıların rollerini ve yetkilerini tanımlayarak güvenlik yönetimini kolaylaştırır. Rol, kullanıcıların gruplanması anlamında kullanılmaktadır RBAC’ın yararları aşağıdaki gibi sıralanabilir:

Ayrı ayrı kişiler değil, roller kontrol altına alınır. Yönetim tek bir noktadandır.

Rol tanımları kurumun iş tanımlarına uygun olacak şekilde esnekleştirilebilir.

Rollerin erişim hakları çok kısa süreler içinde kolaylıkla kapatılabilir veya kaldırılabilir.

Sunucu Güvenliği

Sunucular bir bilgi işlem merkezini oluşturan en önemli parçalardandır. Her bilgi işlem merkezinde çok çeşitli sunucular vasıtasıyla İnternet erişim hizmeti, e-posta hizmeti gibi hizmetler verilir. Aynı zamanda verilerin önemli bir bölümü merkezi olarak sunucularda tutulur. Bu nedenle sunucu güvenliği en önemli hususlardan birisi, hatta önde gelenidir.

İnternet Güvenliği

Günümüz teknolojisinde kurumlarda verimliliği arttırmak, yeniliklerden haberdar olmak yolunda en önemli unsur elektronik haberleşmeden geçmektedir. Diğer bir değişle İnternet bağlantısı iş ortamında vazgeçilmez bir unsur haline gelmiştir.Kurumlar, çalışanlarına araştırma, kendilerini geliştirme ve yeniliklerden haberdar olma amacıyla İnternet’e çıkma olanağı tanımaktadır. İnternet, bilgiye erişmenin ve araştırma yapmanın en hızlı, en kolay ve en güncel yoludur. Fakat korunmasız bir ağ olduğu için her türlü saldırılara açıktır ve mutlaka güvenliğinin sağlaması gerekmektedir.

Kişisel Bilgisayar (PC) Güvenliği

1.     Bilgi Güvenliğinde Hedefler nelerdir ?

2.     İletişim ve Ağ Güvenliği nedir?

 Mesajlaşma  güvenliği           

Güvenlik hedefleri

● Gizlilik: bilgiye erişim yetkisine sahiplerin erişim sağlamak

● Bütünlük: bilginin değiştirilme veya yok edilmeye karşı korunması (bilgini kaynağını doğrulayarak vb.)

● Süreklilik: Zamanında ve guvenilir şekilde bilgi kullanımının sağlanması

● Kimlik denetimi: kulllanıcıların iddia ettikleri kullanıcılar olduğunun ve bir sisteme erişen verinin guvenilir kaynaktan geldiğinin kontrolü.

● İnkar edilememezlik: oluşturulan kanıtlar yardımıyla veri gonderen veya alanın veri aktarımı veya alımı yaptığını inkar etmesini engellemek.

● İzlenebilirlik: bir guvenlik ihlali yapıldığında sorumlusunu ortaya çıkarmak için kullanıcı işlemlerinin takibinin yapılmasının sağlanması

Uygulama  ve  Sistem  Güvenliği

YAZILIM

Bir  bilgisayarda  donanıma  hayat  veren  ve  bilgi  işlemde  kullanılan  programlar,  yordamlar,  programlama  dilleri  ve belgelemelerin tümüdür.

Yazılım kod yazmak, tasarım yapmak değildir

Yazılımın hem üretim, hem de kullanım süreci boyunca geçirdiği tüm aşamalar olarak tanımlanabilir.

Geçmişte  yazılım  geliştirmede  başvurulan  iş  akış  şemaları  gibi  yöntemler  özellikle  güvenlik  odaklı  olmadıklarından günümüzde gereksinimleri karşılayamaz hale gelmiş ve etkinliklerini yitirmişlerdir.

Yazılım geliştirmede erken bir süreçte farkına varılan yazılım açıklıklarının düzeltilmesinin daha ileri süreçlerde farkına varılan açıklıklara göre daha az maliyetli olacağı yazılım endüstrisince yaygın olarak kabul edilen bir ilkedir.

Güvenli yazılım geliştirme sürecinde ele alınması gereken temel olarak dokuz ana güvenlik konusu vardır;

1.     Girdi Geçerleme (Input Validation)

2.     Kimlik Doğrulama (Authentication)

3.     Yetkilendirme (Authorization)

4.     Konfigürasyon Yönetimi (Configuration Management)

5.     Hassas Bilgi (Sensitive Information)

6.     Kriptografi (Cryptograhy)

7.     Parametre Manipülasyonu (Parameter Manipulations)

8.     Hata Yönetimi (Exception Management)

9.     Kayıt Tutma ve Denetim (Logging and Auditing)

YAZILIM GÜVENLİĞİ

Yazılımın her aşamasında güvenliğe ilişkin ortaya çıkabilecek problemleri gözeten etkin bir geliştirme süreci sonuç ürünün daha güvenilir olmasına önemli katkı sağlayacaktır.

12.   YAZILIM GELİŞTİRME AŞAMALARI

Yazılım mühendisliğindeki diğer modellere temel teşkil eden “Çağlayan Modeli (Waterfall Model)” yazılım yaşam döngüsünü analiz, tasarım, kodlama, test ve bakım olmak üzere beş aşamada ele almaktadır.

Yazılım Geliştirme Modelleri

Şelale Modeli (Waterfall Model )

Proje yönetim modelleri genelde şelale modeli (waterfall model) ile başlar. Yazılım mühendisliğinde ilk anlatılan modellerden birisi budur. Şelale modeli çok daha statiktir. Örneğin bir köprü yapılacak. İstanbul’da boğaz içi köprüsü yapıldı ve 10’larca yıldır hiç değişmiyor, ne beklentide farklılıklar var, ne sistemde. Kimse, köprüye her hafta yeni bir kat çıkalım, şerit sayısını arttıralım, altından daha büyük gemiler geçeceği için köprüyü biraz daha yükseltelim demiyor ve hele hele bunu her hafta her gün talep etmek gibi bir dinamiklik yok. Ancak yazılım projelerinde bütün bunları görebilirsiniz. Bazan projenin yeniden oluşturulmasına kadar giden taleplerin arka arkaya aynı gün içerisinde geldiği bile olur. Oysaki boğaz köprüsü yıllardır hiç değişmeyen bir projedir. Şelale modeli  bu  projeler  için  uygun  bir  modeldir.  Ama  yazılım  dünyası  böyle  değil.  Yazılım  projelerinde  her  5-10 dakikada bir yeni fikir gelebiliyor. Şelale modeli yazılım projeleri için en kötü yaklaşımlardan birisidir denilebilir. Yine de ilk olması ve basit olması ve diğer yaklaşımlara temel teşkil etmesi açısından önemlidir.

Fıskiye Modeli

Fıskiye  modeli  şelale  modelinden  öykünerek  oluşturulmuş  bir  modeldir.  Henderson-Sellers  and  Edwards tarafından geliştirilmiş bir modeldir. Şelale modelinden farkı, döngüleri vardır. Döngüler şeklinde her bir aşamada belli döngüler elde edilir. Tasarım aşamasında tekrar koddan tasarıma dönülmesi, tasarımdan istek analizlerine geri  dönülmesi ve  operasyona  geçtikten sonra  testlere geri  dönülmesi  gibi  döngülere  sahiptir.  Maintenance (bakım) ve evolation (kriterler) belirleniyor. Bu yaklaşımda şelale modelindeki adımları görülebilir.

Spiral Model

Spiral model, diğer modellerden farklı olarak süreci oluşturan aşamalardan tekrar tekrar geçilmesini ve her geçişte projenin ilerleme kat etmesini hedeflemektedir. Örneğin projenin her döngüde yeni bir prototip çıkararak toplam 3 prototip ve dolayısıyla 3 döngüde ilerlemesi isteniyorsa, içeriden dışarıya doğru giden bir spiral şeklinde proje aşamalarında ilerlenerek dönülmelidir. Prototip model literatüre 1980’li yıllarda kazandırılmıştır.

Örnek Sorular

Uygulama ve Sistem Güvenliği nedir örnek veriniz ? Yazılım Geliştirme Modellerinden 3 tanesini açıklayınız ?

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir